31.12 // Коллизии в MD5 использованы для практической атаки на SSL-сертификаты
Под занавес года группа исследователей, в числе которых Alex Sotirov, Marc Stevens, Jake Appelbaum, Arjen Lenstra, Benne de Weger, David Molnar, сделала громкую новость. На 25-й конференции Chaos Computing Congress[link1] ею была представлена практическая криптоаналитическая атака[link2] на SSL-сертификаты X.509, используемые веб-сайтами для защиты соединений по протоколу HTTPS.
На основе всех предыдущих наработок в области поиска коллизий в хэш-алгоритме MD5 исследователи создали способ конструирования пар сертификатов X.509 с идентичными хэш-значениями MD5. Используя эту методику и вычислительный кластер из 200 видео-приставок Playstation3 они сформировали два сертификата X.509, один из которых выглядел совершенно легитимно и был передан на заверение в удостоверяющий центр Equifax Secure Global eBusiness (этот УЦ, как и множество других, для формирования подтверждающей цифровой подписи на сертификате использует именно алгоритм MD5). Другой сертификат не содержал бит ограничения доверия (превращая его в сертификат промежуточного УЦ, способного заверять другие сертификаты) и не прошёл бы процедуру заверения в УЦ, но соответствие хэш-значений позволило исследователям просто перенести ЭЦП с заверенного легитимного сертификата на поддельный. В результате ни один браузер, содержащий корневой сертификат Equifax Secure Global eBusiness, не смог бы выявить подобную подделку, поскольку, формально, она заверена доверенным УЦ. А благодаря иерархическому распространению доверия от легитимного УЦ каждый пользователь расценит доверенными и любые сертификаты, заверенные этой сконструированной подделкой.
Атаке подвержены все браузеры, содержащие хотя бы один доверенный корневой сертификат, использующий MD5 для выработки цифровых подписей. В качестве временного противодействия пользователь может вручную изменить доверие к тем или иным корневым сертификатам в хранилище браузера, что, однако, не слишком практично в виду количества корневых сертификатов в современных браузерах. Единственное полноценное решение (в рамках действующей модели PKI) — замена сертификатов самими удостоверяющими центрами и их обновление в браузерах, но они, несмотря на то, что были предупреждены заранее и давно в курсе положения дел с MD5, не спешили выполнять переход. Вероятно, теперь, когда детали атаки преданы гласности, они станут действовать более активно.
Источник: http://www.win.tue.nl/hashclash/rogue-ca/
[link2] http://www.win.tue.nl/hashclash/rogue-ca/